Seguro que si habéis necesitado activar el acceso remoto de un usuario no administrador a un servidor Windows que además esté haciendo el rol de controlador de dominio os habréis encontrado con este mensaje, pese a haber añadido el usuario al grupo Usuarios de escritorio remoto:

El motivo es precisamente que es un controlador de dominio, y como tal, tiene una directiva de seguridad específica, que se puede modificar en Herramientas administrativas | Configuración de seguridad predeterminada de controlador de dominio.

En esta consola, desplegamos Configuración de Windows | Configuración de seguridad | Directivas locales | Asignación de derechos de usuario, y en la directiva Permitir inicio de sesión a través de Servicios de Terminal Server añadimos al usuario que nos interese, en la forma DOMINIO\Usuario.

Como cualquier modificación en las directivas, tarda algo en hacerse efectiva, así que si tenemos prisa y no apetece reiniciar, podemos forzarlo con el comando:

gpupdate /force